Ochrona kontenera w Defender dla Chmury
Usługa Microsoft Defender for Containers to natywne dla chmury rozwiązanie do ulepszania, monitorowania i obsługi zabezpieczeń konteneryzowanych zasobów (klastrów Kubernetes, węzłów Kubernetes, obciążeń Kubernetes, rejestrów kontenerów, obrazów kontenerów i nie tylko) oraz ich aplikacji w środowiskach wielochmurowych i lokalnych.
Usługa Defender for Containers ułatwia obsługę czterech podstawowych domen zabezpieczeń kontenerów:
Zarządzanie stanem zabezpieczeń umożliwia ciągłe monitorowanie interfejsów API chmury, interfejsów API platformy Kubernetes i obciążeń Kubernetes w celu odnajdywania zasobów w chmurze, zapewnienia kompleksowych możliwości spisu, wykrywania błędów konfiguracji za pomocą wytycznych dotyczących ograniczania ryzyka, zapewniania kontekstowej oceny ryzyka i umożliwia użytkownikom wykonywanie rozszerzonych funkcji wyszukiwania zagrożeń za pośrednictwem eksploratora zabezpieczeń Defender dla Chmury.
Ocena luk w zabezpieczeniach — przeprowadza ocenę luk w zabezpieczeniach bez agenta obsługiwanych węzłów K8s i rejestrów kontenerów z wytycznymi korygowania, zerową konfiguracją, codziennymi ponownym skanowaniem, pokryciem pakietów systemów operacyjnych i pakietów językowych oraz szczegółowymi informacjami o możliwościach wykorzystania.
Ochrona przed zagrożeniami w czasie wykonywania — bogaty pakiet wykrywania zagrożeń dla klastrów Kubernetes, węzłów i obciążeń obsługiwanych przez wiodącą analizę zagrożeń firmy Microsoft, zapewnia mapowanie struktury MITRE ATT&CK, aby ułatwić zrozumienie ryzyka i odpowiedniego kontekstu oraz automatyczną reakcję. Operatorzy zabezpieczeń mogą również badać zagrożenia dla usług Kubernetes i reagować na nie za pośrednictwem portalu XDR w usłudze Microsoft Defender.
Wdrażanie i monitorowanie — monitoruje klastry Kubernetes pod kątem brakujących czujników i zapewnia bezproblemowe wdrażanie na dużą skalę dla możliwości opartych na czujnikach, obsługę standardowych narzędzi do monitorowania kubernetes i zarządzanie niemonitorowanych zasobów.
Więcej informacji można dowiedzieć się, oglądając ten film wideo z Defender dla Chmury w serii wideo Field: Microsoft Defender for Containers.
Dostępność planu Microsoft Defender dla Kontenerów
| Aspekt | Szczegóły |
|---|---|
| Stan wydania: | Ogólna dostępność Niektóre funkcje są dostępne w wersji zapoznawczej. Aby uzyskać pełną listę, zobacz macierz obsługi kontenerów w Defender dla Chmury |
| Dostępność funkcji | Zapoznaj się z macierzą obsługi kontenerów w Defender dla Chmury, aby uzyskać dodatkowe informacje na temat stanu i dostępności wersji funkcji |
| Cennik: | Opłaty za usługę Microsoft Defender for Containers są naliczane, jak pokazano na stronie cennika |
| Wymagane role i uprawnienia: | * Aby wdrożyć wymagane składniki, zobacz uprawnienia dla każdego ze składników * Administrator zabezpieczeń może odrzucać alerty * Czytelnik zabezpieczeń może wyświetlać wyniki oceny luk w zabezpieczeniach Zobacz również Role korygowania i ról i uprawnień usługi Azure Container Registry |
| Chmury: | Wyświetlanie macierzy obsługi kontenerów w Defender dla Chmury w celu wyświetlenia dostępności chmury |
Zarządzanie stanem zabezpieczeń
Możliwości bez agenta
Odnajdywanie bez agenta dla platformy Kubernetes — zapewnia zerowe ślady, odnajdywanie oparte na interfejsie API klastrów Kubernetes , konfiguracji i wdrożeń.
Ocena luk w zabezpieczeniach bez agenta — zapewnia ocenę luk w zabezpieczeniach dla węzłów klastra i wszystkich obrazów kontenerów, w tym rekomendacje dotyczące rejestru i środowiska uruchomieniowego, szybkie skanowanie nowych obrazów, codzienne odświeżanie wyników, szczegółowe informacje o możliwości wykorzystania i nie tylko. Informacje o lukach w zabezpieczeniach są dodawane do grafu zabezpieczeń na potrzeby kontekstowej oceny ryzyka i obliczania ścieżek ataków oraz możliwości wyszukiwania zagrożeń.
Kompleksowe możliwości spisu — umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pośrednictwem Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi.
Ulepszone wyszukiwanie zagrożeń — umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów ze stanem w swoich konteneryzowanych zasobach za pomocą zapytań (wbudowanych i niestandardowych) oraz szczegółowych informacji o zabezpieczeniach w eksploratorze zabezpieczeń
Wzmacnianie zabezpieczeń płaszczyzny sterowania — stale ocenia konfiguracje klastrów i porównuje je z inicjatywami zastosowanymi do subskrypcji. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów.
Możesz użyć filtru zasobów, aby przejrzeć zaległe zalecenia dotyczące zasobów związanych z kontenerem, niezależnie od tego, czy są dostępne w spisie zasobów, czy na stronie zaleceń:
Aby uzyskać szczegółowe informacje zawarte w tej funkcji, zapoznaj się z zaleceniami dotyczącymi kontenerów i poszukaj zaleceń o typie "Płaszczyzna sterowania"
Możliwości oparte na czujnikach
Wykrywanie dryfu binarnego — usługa Defender for Containers zapewnia funkcję opartą na czujnikach, która ostrzega o potencjalnych zagrożeniach bezpieczeństwa przez wykrywanie nieautoryzowanych procesów zewnętrznych w kontenerach. Zasady dryfu można zdefiniować w celu określenia warunków, w których powinny być generowane alerty, co ułatwia rozróżnienie między uzasadnionymi działaniami a potencjalnymi zagrożeniami. Aby uzyskać więcej informacji, zobacz Binarna ochrona dryfu (wersja zapoznawcza).
Wzmacnianie zabezpieczeń płaszczyzny danych platformy Kubernetes — aby chronić obciążenia kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań, możesz zainstalować usługę Azure Policy dla platformy Kubernetes. Dowiedz się więcej o składnikach monitorowania Defender dla Chmury.
Dzięki zasadom zdefiniowanym dla klastra Kubernetes każde żądanie serwera interfejsu API Kubernetes jest monitorowane względem wstępnie zdefiniowanego zestawu najlepszych rozwiązań przed utrwalone w klastrze. Następnie można ją skonfigurować, aby wymusić najlepsze rozwiązania i zastosować je do przyszłych obciążeń.
Na przykład można na przykład nadawać uprawnienia do tworzenia uprzywilejowanych kontenerów, a wszelkie przyszłe żądania do tego są blokowane.
Więcej informacji na temat wzmacniania zabezpieczeń płaszczyzny danych platformy Kubernetes można dowiedzieć się więcej.
Ocena luk w zabezpieczeniach
Usługa Defender for Containers skanuje system operacyjny i oprogramowanie aplikacji węzła klastra, obrazy kontenerów w usłudze Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Rejestr Google Artifact Registry (GAR), rejestr Google Container Registry (GCR) i obsługiwane zewnętrzne rejestry obrazów w celu zapewnienia oceny luk w zabezpieczeniach bez agentów.
Informacje o lukach w zabezpieczeniach obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender są dodawane do grafu zabezpieczeń chmury na potrzeby kontekstowego ryzyka, obliczania ścieżek ataków i możliwości wyszukiwania zagrożeń.
Dowiedz się więcej o ocenie luk w zabezpieczeniach dla:
Rejestry kontenerów —
- Oceny luk w zabezpieczeniach dla platformy Azure z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
- Oceny luk w zabezpieczeniach dla platformy AWS z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
- Oceny luk w zabezpieczeniach dla platformy GCP z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Węzły klastra —
Ochrona w czasie wykonywania dla węzłów i klastrów Kubernetes
Usługa Defender for Containers zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obsługiwanych środowisk konteneryzowanych i generuje alerty dotyczące podejrzanych działań. Te informacje pozwalają na szybkie rozwiązywanie problemów dotyczących zabezpieczeń i poprawę bezpieczeństwa kontenerów.
Ochrona przed zagrożeniami jest zapewniana dla platformy Kubernetes na poziomie klastra, węzła i obciążenia. Zarówno pokrycie oparte na czujniku, które wymaga czujnika usługi Defender, jak i pokrycie bez agenta oparte na analizie dzienników inspekcji platformy Kubernetes, są używane do wykrywania zagrożeń. Alerty zabezpieczeń są wyzwalane tylko dla akcji i wdrożeń występujących po włączeniu usługi Defender for Containers w ramach subskrypcji.
Przykłady zdarzeń zabezpieczeń monitorujących przez usługę Microsoft Defenders for Containers:
- Uwidocznione pulpity nawigacyjne platformy Kubernetes
- Tworzenie ról z wysokimi uprawnieniami
- Tworzenie poufnych instalacji
Alerty zabezpieczeń można wyświetlić, wybierając kafelek Alerty zabezpieczeń w górnej części strony przeglądu Defender dla Chmury lub link z paska bocznego.
Alerty zabezpieczeń dotyczące obciążenia środowiska uruchomieniowego w klastrach mają prefiks typu alertu K8S.NODE_ . Aby uzyskać pełną listę alertów na poziomie klastra, zobacz tabelę referencyjną alertów.
Usługa Defender for Containers obejmuje wykrywanie zagrożeń z ponad 60 analizami obsługującymi platformę Kubernetes, sztuczną inteligencją i wykrywaniem anomalii na podstawie obciążenia środowiska uruchomieniowego.
Defender dla Chmury monitoruje obszar ataków wdrożeń platformy Kubernetes w wielu chmurach w oparciu o Macierz MITRE ATT&CK® dla kontenerów, struktura opracowana przez Center for Threat-Informed Defense we ścisłej współpracy z firmą Microsoft.
Defender dla Chmury jest zintegrowana z usługą Microsoft Defender XDR. Gdy usługa Defender for Containers jest włączona, operatorzy zabezpieczeń mogą używać usługi Defender XDR do badania i reagowania na problemy z zabezpieczeniami w obsługiwanych usługach Kubernetes.
Dowiedz się więcej
Dowiedz się więcej o usłudze Defender for Containers w następujących blogach:
- Wprowadzenie do usługi Microsoft Defender for Containers
- Demonstrowanie Microsoft Defender dla Chmury
Następne kroki
W tym omówieniu przedstawiono podstawowe elementy zabezpieczeń kontenerów w Microsoft Defender dla Chmury. Aby włączyć plan, zobacz:
- Włączanie usługi Defender for Containers
- Zapoznaj się z typowymi pytaniami dotyczącymi usługi Defender for Containers.